Der Mitarbeiter geht, das Mail-Postfach bleibt – und was nun?

IT-SECURITY,

Johanna Hametner

IT-Consultant Information Security

E-Mail schreiben

E-Mails sind aus dem Berufsalltag nicht mehr wegzudenken. Aber wie steht es um das Mail-Postfach eines Ex-Mitarbeiters? Unbeschränkt nutzen darf der Arbeitgeber diese Daten jedoch nicht.

Nach dem Austritt stellt sich die Frage, wie mit dem personalisierten E-Mail-Account des ehemaligen Mitarbeiters weiter zu verfahren ist. Es muss stets eine Verhältnismäßigkeitsprüfung und eine Interessenabwägung stattfinden. Wir klären die wichtigsten Fragen.

Die Arbeitgebersicht

Ob E-Mails ausgetretener Mitarbeiter geöffnet werden dürfen, hängt von diversen Faktoren ab. Zudem bestehen diverse Möglichkeiten, E-Mail-Öffnungen ausgeschiedener Mitarbeiter sowohl datenschutzrechtlich wie auch arbeitsrechtlich konform zu gestalten. 

Grundsätzlich ist die Öffnung eines Postfaches für den Arbeitgeber gestattet. Grund dafür ist, dass betrieblichen E-Mails und somit die Unternehmenskorrespondenzen Eigentum des Unternehmens sind. Problematisch hinsichtlich Datenschutz könnten offenkundig E-Mails privater Natur sein. Hier besteht die Gefahr die Vertraulichkeit und Verfügbarkeit der Daten zu verletzen. Zudem ist es nicht gestattet, Mail-Accounts der Mitarbeiter weder permanent noch willkürlich zu überwachen. Unabhängig davon, ob ein ausdrückliches Verbot, eine Duldung oder eine Zustimmung zur Privatnutzung vorliegt.

Möglichkeit 1

Die wohl praktikabelste Möglichkeit ist die Privatnutzung der Hardware wie auch der Software des Unternehmens durch Mitarbeiter auszuschließen. Dazu besteht im Idealfall eine innerbetriebliche Regelung zur Privatnutzung. Dies könnte beispielsweise direkt im Dienstvertrag oder durch eine Anlage zum Dienstvertrag durchgeführt werden. Auch eine Betriebsvereinbarung ist hier eine Möglichkeit. Dies setzt jedoch voraus, dass es im Unternehmen einen Betriebsrat gibt. 

Nutzt der Arbeitnehmer das E-Mail-Postfach in diesem Fall trotzdem privat, stellt dies eine arbeitsvertragliche Pflichtverletzung des Arbeitnehmers dar, weshalb er/sie hier einem E-Mailpostfachzugriff ohne weiteres kein schützenswertes Interesse entgegenhalten kann.

Möglichkeit 2

Wenn die Privatnutzung nicht ausgeschlossen wurde besteht die Möglichkeit der Kontaktaufnahme mit dem ausgeschiedenen Mitarbeiter. Dadurch kann eine Information über die geplante Öffnung und eine Einholung einer schriftlichen Einwilligung erfolgen. Dies ist aber nicht verpflichtend, da E-Mails immer Unternehmenseigentum sind und man diese laut UGB auch 7 Jahre aufbewahren muss, um die Unternehmenskorrespondenz nachweisen zu können.

Möglichkeit 3

Ist eine Einsicht in den Mailverkehr erforderlich, ist empfehlenswert die Vertraulichkeit durch ein Vier-Augen Prinzip sicherzustellen. Dabei kann einerseits der Betriebsrat (wenn vorhanden) oder ein vertrauter Mitarbeiter herangezogen werden. Bei der Auswertung sollte man vor dem Öffnen bereits anhand des Betreffs bzw. Empfängers / Absenders die private Natur erkennen und diese Mails dann nicht öffnen bzw. lesen. Zudem sollte das Postfach nicht generell durchsucht werden, sondern nur nach dem spezifischen Zweck.

Fazit

Zusammenfassend ist die E-Mail-Öffnung eine unkritische Verarbeitungstat, da ein am Berufsleben Teilnehmender damit rechnen muss, dass das E-Mail-Konto irgendwann ausgewertet wird, da nach Austritt häufig offene Fragen bestehen. Daher werden private E-Mails in aller Regel nur vereinzelt auftreten und keine kritischen Inhalte aufweisen. Das Risiko aus Betroffenensicht ist also gering. Wir gehen dann von einer geringen Risikolage des durchschnittlichen Mitarbeiters aus.

Ausnahmefall

Anders wäre die Situation, wenn der Mitarbeiter in einem anderen Fall bekanntermaßen exponiert, wäre, wie beispielsweise

  • Betriebsarzt
  • Betriebsrat
  • Seelsorger
  • politisch aktiv bzw. Gewerkschaften…
  • Nutzt die E-Mail als „User“ für viele Privataccounts und kann so seine Passwörter nicht zurücksetzen…

Solche Faktoren würden die Risikolage zur Verfügbarkeit sowie Vertraulichkeit erhöhen. Daher schadet es nie, mit dem ehemaligen Mitarbeiter das Gespräch zu suchen. Im besten Fall gibt er selbst an, dass einer Öffnung überhaupt nichts im Wege steht. 

Wurde eine Öffnung durchgeführt, ist sicherzustellen, dass diese schriftlich dokumentiert wird. 
Vor allem bei exponierten Mitarbeitern ist dies von Bedeutung. Ist ein Betriebsrat vorhanden, sollte die Dokumentation von diesem unterzeichnet werden.

Die Arbeitnehmersicht

Trotz immer stärkerer Vernetzung und Smartphone Nutzung und somit Verfügbarkeit des privaten E-Mail-Zugangs landen immer wieder private E-Mails von Arbeitnehmern im beruflichen Posteingang oder werden über den Mail-Server des Arbeitgebers versendet. Als Arbeitnehmer ist es empfehlenswert private und berufliche Interessen strikt zu trennen und berufliche Mailadressen oder Rechner nicht für private Zwecke zu nützen. Werden trotzdem private E-Mails über Unternehmensaccounts versendet, sollten diese bei Austritt dementsprechend gelöscht werden. 

Öffnung von E-Mail-Konten bestehender Mitarbeiter

Besteht der Verdacht auf Pflichtverletzung eines Arbeitnehmers ist die Sichtung des E-Mailpostfaches ein Weg diesem nachzugehen. Dabei ist ausschlaggebend, dass ein begründeter Verdacht besteht und in Folge beispielsweise Abmahnungen oder Kündigungen geplant sind. Ein Zugriff auf das Postfach ist in diesem Falle auch nur insoweit rechtlich zulässig, wie es zur Aufklärung und/oder der Erhärtung des Verdachts der Pflichtverletzung erforderlich ist. Daher ist es nicht gestattet alle E-Mails zu „durchforsten“, sondern nur punktuell auf einen gewissen, für die Pflichtverletzung relevanten Zeitraum beschränkt. Eine umfassende Kontrolle des E-Mailpostfaches des Arbeitnehmers ist nicht gestattet.

Praxistipps

Wir raten Arbeitgebern, die private Nutzung des beruflichen Mailpostfaches zu untersagen. Die meisten Arbeitnehmer verfügen über Smartphones, mit welchen sie auch in Pausen auf ihre E-Mails zugreifen können. Ist die Privatnutzung nicht untersagt oder ist unklar, ob sich diese vom Arbeitgeber geduldet, womöglich im Betrieb „eingebürgert“ hat, sollten Arbeitgeber prüfen, ob sie nicht nur rein dienstliche Nutzung zulassen wollen. Zudem ist es wichtig, bei erlaubter Privatnutzung im Falle einer Mailöffnung das Vier-Augen-Prinzip anzuwenden und den gesamten Prozess ausführlich zu dokumentieren.